snort使用手册

实验九 snort入侵检测系统软件的使用【实验目的】（1）理解入侵检测的作用和检测原理。

（2）理解误用检测和异常检测的区别。

（3）掌握Snort的安装、配置。

（4）掌握用Snort作为基于主机的入侵检测系统(HIDS)的使用。

【实验内容】（1）安装和配置入侵检测软件。

【实验环境】WindowsXP以上操作系统【实验步骤】（1）安装数据包截取驱动程序。

双击安装文件winpcap.exe ，一直单击“NEXT”按钮完成安装。

（2）安装snort 入侵检测系统：运行snort.exe ，按照安装向导提示完成安装。

其中在installation options窗口中选择第一个选项，表示不将报警数据日志写入到数据库或将日志写入到snort 支持的windows版本的数据库MYSQL和其他ODBC数据库中。

在choose components窗口中，建议将三个组件都选中。

（3）安装the appserv open object ：运行appserv.exe ，按照安装向导提示完成安装。

其中apache HTTP Server窗口中输入WEB服务器的域名主机名称和IP 地址、管理员的EMAIL地址、WEB 服务的端口号。

在弹出的MYSQL Database 窗口中输入MYSQL的相关信息，MYSQL 数据库用户的用户和密码等。

安装完成后，WWW目录为默认的WEB页的发布目录。

在开始菜单中启动APACHE 服务器和MYSQL数据库服务器，在本地计算机的浏览器中输入http://127.0.0.1 ，若出现教材中图7-16 的窗口表示APACHE服务器工作正常。

（4）ACID软件包的安装：解压缩acid.rar 数据包，解压缩到c:\appserv\www\acid 目录中。

（5）ADODB软件包的安装：解压缩adodb.rar 数据包，解压缩到c:\appserv\www\adodb 目录中。

（6）PHP图形库的安装：解压缩jpgraph.rar 数据包，解压缩到c:\appserv\www\jpgraph 目录中。

snort规则语法
Snort规则语法是一种基于文本的语言，用于描述网络流量中的特定规则和事件。

它由关键词、操作符和选项组成，可以用于识别和响应网络攻击、异常流量和其他安全问题。

Snort规则语法包括以下关键词：
- alert：用于指定当规则匹配时发出的警报消息。

- log：用于指定记录匹配规则的流量的方式，例如日志文件的位置和格式。

- pass：用于指定匹配规则的流量将被放行，而不是触发警报。

- drop：用于指定匹配规则的流量将被丢弃，而不是触发警报。

- reject：用于指定匹配规则的流量将被拒绝，并向发送方发送一个重新定向消息。

- sdrop：用于指定匹配规则的流量将被静默丢弃。

操作符用于指定规则的匹配条件，例如IP地址、端口、协议类型等。

选项用于指定其他规则参数，例如匹配规则的消息、特定的数据包内容等。

Snort规则语法的基本格式如下：
[操作码] [协议] [源IP地址/网络] [源端口] -> [目的IP地址/网络] [目的端口] (选项)
例如，以下规则将匹配所有TCP流量，源IP地址为192.168.1.1，目的IP地址为任何地址，目的端口为80：
alert tcp 192.168.1.1 any -> any 80 (msg:'TCP traffic to
port 80'; sid:10001;)
在编写Snort规则时，需要考虑到网络环境、攻击类型和安全需求等因素，以确保规则能够准确地检测和响应安全事件。

同时，规则的调试和优化也是一个不断迭代的过程，需要不断地进行测试和改进。

Snort使用报告一、软件安装安装环境:windows 7 32bit软件:Snort 2.9.5.5、WinPcap 4.1.1规则库: snortrules-snapshot-2970.tar.gz二、实验内容熟悉入侵检测软件Snort的安装与使用三、实验原理Snort是一个多平台(Multi-Platform),实时(Real-Time)流量分析，网络IP数据包(Pocket)记录等特性的强大的网络入侵检测/防御系统(Network Intrusion Detection/Prevention System),即NIDS/NIPS四.安装步骤1.下载实验用的软件Snort、Snort的规则库snortrules 和WinPcap.本次实验使用的具体版本是Snort 2.9.5.5、snortrules-snapshot-2970.tar.gz 和WinPcap 4.1.3首先点击Snort安装点击I Agree.同意软件使用条款，开始下一步，选择所要安装的组件：全选后，点击下一步：选择安装的位置，默认的路径为c:/Snort/,点击下一步，安装完成。

软件跳出提示需要安装WinPcap 4.1.1以上2.安装WinPcap点击WinPcap安装包进行安装点击下一步继续：点击同意使用条款：选择是否让WinPcap自启动，点击安装：安装完成点击完成。

此时为了看安装是否成功，进入CMD，找到d：/Snort/bin/如下图：（注意这个路径是你安装的路径，由于我安装在d盘的根目录下，所以开头是d:）输入以下命令snort –W，如下显示你的网卡信息，说明安装成功了！别高兴的太早，这只是安装成功了软件包，下面还要安装规则库：3.安装Snort规则库首先我们去Snort的官网下载Snort的规则库，必须先注册成会员，才可以下载。

具体下载地址为https:///downloads，往下拉到Rules，看见Registered是灰色的，我们点击Sign in：注册成功后，返回到这个界面就可以下载了。

Snort安装与配置Snort是免费NIPS及NIDS软件，具有对数据流量分析和对网络数据包进行协议分析处理的能力，通过灵活可定制的规则库(Rules)，可对处理的报文内容进行搜索和匹配，能够检测出各种攻击，并进行实时预警。

Snort支持三种工作模式：嗅探器、数据包记录器、网络入侵检测系统，支持多种操作系统，如Fedora、Centos、FreeBSD、Windows等，本次实训使用Centos 7，安装Snort 2.9.11.1。

实训任务在Centos 7系统上安装Snort 3并配置规则。

实训目的1．掌握在Centos 7系统上安装Snort 3的方法；2．深刻理解入侵检测系统的作用和用法；3．明白入侵检测规则的配置。

实训步骤1．安装Centos 7 Minimal系统安装过程不做过多叙述，这里配置2GB内存，20GB硬盘。

2．基础环境配置根据实际网络连接情况配置网卡信息，使虚拟机能够连接网络。

# vi /etc/sysconfig/network-scripts/ifcfg-eno16777736TYPE="Ethernet"BOOTPROTO="static"DEFROUTE="yes"IPV4_FAILURE_FATAL="no"NAME="eno16777736"UUID="51b90454-dc80-46ee-93a0-22608569f413"DEVICE="eno16777736"ONBOOT="yes"IPADDR="192.168.88.222"PREFIX="24"GATEWAY="192.168.88.2"DNS1=114.114.114.114~安装wget，准备使用网络下载资源：# yum install wget –y将文件CentOS-Base.repo备份为CentOS-Base.repo.backup，然后使用wget下载阿里yum 源文件Centos-7.repo：# mv /etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d/CentOS-Base.repo.backup#wget –O /etc/yum.repos.d/CentOS-Base.repo /repo/Centos-7.repo更新yum源，并缓存：# yum clean all# yum makecache# yum -y update3．安装Snort安装epel源：# yum install -y epel-release安装依赖：经过前面的设置阿里源、源更升级后，将能够很顺利的安装完依赖。

⼊侵检测软件Snort的使⽤实验1．安装和配置 IDS 软件 Snort并查看⽹卡信息从返回的结果可知主机上有哪个物理⽹卡正在⼯作及该⽹卡的详细信息。

图中显⽰此计算机只有1个⽹卡，且该⽹卡具有物理地址。

2.输⼊ snort –v –i1命令启⽤ Snort并捕捉到⼀些流量3. 配置snort3.1打开 snort配置⽂件，设置 Snort 的内部⽹络和外部⽹络⽹络检测范围。

将 Snort.conf ⽂件中的 var HOME_NET any 语句的 any 改为⾃⼰所在的⼦⽹地址，即将Snort 监测的内部⽹络设置为所在的局域⽹。

我实验的机器ip地址为192.168.1.131，故⼦⽹地址应该为192.168.1.0/243.2配置⽹段内提供⽹络服务的 IP 地址，只需要把默认的$HOME_NET 改成对应的主机地址即可。

var DNS_SERVERS $HOME_NETvar SMTP_SERVERS HOME N ETvarHTTP S ERVERS HOME_NETvar SQL_SERVERS HOME N ETvarTELNET S ERVERS HOME_NETvar SNMP_SERVERS $HOME_NET3.3配置动态预处理器库# path to dynamic preprocessor librariesdynamicpreprocessor directory c:\Snort\lib\snort_dynamicpreprocessordynamicpreprocessor file c:\Snort\lib\snort_dynamicpreprocessor\sf_dce2.dlldynamicpreprocessor file c:\Snort\lib\snort_dynamicpreprocessor\sf_dns.dlldynamicpreprocessor file c:\Snort\lib\snort_dynamicpreprocessor\sf_ftptelnet.dlldynamicpreprocessor file c:\Snort\lib\snort_dynamicpreprocessor\sf_sdf.dlldynamicpreprocessor file c:\Snort\lib\snort_dynamicpreprocessor\sf_smtp.dlldynamicpreprocessor file c:\Snort\lib\snort_dynamicpreprocessor\sf_ssh.dlldynamicpreprocessor file c:\Snort\lib\snort_dynamicpreprocessor\sf_ssl.dlldynamicengine c:\Snort\lib\snort_dynamicengine\sf_engine.dll3.4修改配置⽂件 classification.config 和 reference.config的路径:include c:\Snort\etc\classification.configinclude c:\Snort\etc\reference.config其中 classification.config ⽂件保存的是规则的警报级别相关的配置，reference.config ⽂件保存了提供更多警报相关信息的链接。

213 把消息发送到Windows 主机。

为了使用这个选项，必须在运行“./configure ”脚本时使用--enable-smbalerts 选项。

下面是一些输出配置例子。

//使用默认的日志方式并把报警发给syslog#./snort –c snort.conf –l ./log –s –h 192.168.0.1/24//使用二进制日志格式和smb 报警机制#./snort –c snort.conf –b –M WORK －STATIONS上述例子均以局域网（以太网）背景进行说明，不过，这些命令在广域网上同样有效。

12.5.4 配置Snort 规则Snort 最重要的用途是作为网络入侵检测系统，其具有自己的规则语言。

从语法上看，这种规则语言非常简单，但是对于入侵检测来说其足够强大，并且有厂商及Linux 爱好者的技术支持。

读者只要能够较好地使用这些规则，就将能较好地保证Linux 网络系统的安全。

下面将介绍Snort 规则集的配置和使用。

//创建snort 的配置文件，其实就是把snort 的默认配置文件复制到用户的主目录（在本例中为“/home/user1”），并作一些修改# cd /home/user1/snort-2.4.0# ls -l snort.conf-rw-r--r--1 1006 100618253 Apr 8 12:04 snort.conf# cp snort.conf /root/.snortrc//对“/root/.snortrc ”的修改，可以设置RULE _PATH 值为“/usr/local/snort/rules ”，在文件的最后部分，对规则文件行首去掉或加上注释符（用“#”表示）var RULE _PATH /usr/local/snort/rules#=========================================# Include all relevant rulesets here## shellcode, policy, info, backdoor, and virus rulesets are# disabled by default. These require tuning and maintance.# Please read the included specific file for more information.#========================================include $RULE _PATH/bad-traffic.rules//包含对非法流量的检测规则 include $RULE _PATH/exploit.rules //包含对漏洞利用的检测规则include $RULE _PATH/scan.rules //包含对非法扫描的检测规则include $RULE _PATH/finger.rules //包含对finger 搜索应用的检测规则include $RULE _PATH/ftp.rules //包含对ftp 应用的检测规则include $RULE _PATH/telnet.rules//包含对telnet 远程登录应用的检测规则 include $RULE _PATH/smtp.rules //包含对smtp 邮件发送应用的检测规则include $RULE _PATH/rpc.rules //包含对远程调用应用的检测规则include $RULE _PATH/rservices.rules //包含对远程服务进程应用的检测规则include $RULE _PATH/dos.rules //包含检测拒绝服务攻击的规则include $RULE _PATH/ddos.rules //包含检测分布式拒绝服务攻击的规则include $RULE _PATH/dns.rules //包含对dns 域名服务应用的检测规则include $RULE _PATH/tftp.rules //包含对tftp 应用的检测规则。

实验报告学院：计算机院专业：信息安全班级：9.Winpcap安装包实验步骤1.安装Apache_2.0.46：（1）安装在默认文件夹C:\apache下：（2）打开配置文件C:\apache\apache2\conf\ d.conf，将其中的Listen 8080，更改为Listen 50080：（3）进入命令行运行方式，转入C:\apache\apache\bin子目录，输入下面命令：C:\apache\apache2\bin>apache –k install：2.安装PHP（1）解压缩php-4.3.2-Win32.zip至C:\php。

（2）复制C:\php下php4ts.dll 至%systemroot%\System32，php.ini-dist 至%systemroot%\php.ini。

（3）添加gd图形支持库，在php.ini中添加extension=php_gd2.dll。

如果php.ini 有该句，将此句前面的“；”注释符去掉（4）添加Apache对PHP的支持。

在C:\apahce\apache2\conf\ d.conf中添加：LoadModule php4_module “C:/php/sapi/php4apache2.dll”AddType application/x- d-php .php（5）进入命令行运行方式，输入下面命令：Net start apache2（6）在C:\apache\apche2\htdocs目录下新建test.php测试文件，test.php文件容为<?phpinfo();?>使用127.0.0.1:50080/test.php测试3.安装snort4.安装配置Mysql数据库（1）安装Mysql到默认文件夹C:\mysql（2）在命令行方式下进入C:\mysql\bin，输入下面命令：C:\mysql\bin\mysqld ––install（3）在命令行方式下输入net start mysql，启动mysql服务（4）进入命令行方式，输入以下命令C:\mysql\bin>mysql –u root –p（5）在mysql提示符后输入下面的命令（（Mysql>）表示屏幕上出现的提示符，下同）：（Mysql>）create database snort;（Mysql>）create database snort_archive;（6）输入quit命令退出mysql后，在出现的提示符之后输入:（c:\mysql\bin>）Mysql –D snort –u root–p<C:\snort\contrib\create_mysql（c:\mysql\bin>）Mysql –D snort_archive –u root–p<C:\snort\contrib\create_mysql（7）再次以root用户身份登录mysql数据库，在提示符后输入下面的语句：（mysql>）grant usage on *.* to “acid””loacalhost” identified by “acidtest”;（mysql>）grant usage on *.* to “snort””loacalhost” identified by “snorttest”;（8）在mysql提示符后面输入下面的语句：（mysql>）grant select,insert,update,delete,create,alter on snort.* to “adid””localhost;（mysql>）grant select,insert on snort.* to “snort””localhost; （mysql>）grant select,insert,update,delete,create,alter on snort_archive.* to “adid””localhost;5.安装adodb6.安装配置数据控制台acid（1）解压缩acid-0.9.6b23.tat.gz至C:\apache\apache2\htdocs\zlt（2）修改C:\apahce\apache2\htdocs下的acid_conf.php文件：（3）查看127.0.0.1:50080/acid/acid_db_setup.php网页7.安装jpgraph库（1）解压缩jpgraph-1.12.2.tar.gz至C:\php\jpgraph（2）修改C:\php\jpgrah\src下jpgraph.php文件，去掉下面语句的注释。

实验八入侵检测系统snort的安装与使用一、实验序号：8二、实验学时：2三、实验目的（1）理解入侵检测的作用和检测原理。

（2）理解误用检测和异常检测的区别。

（3）掌握Snort的安装、配置。

（4）掌握用Snort作为基于主机的入侵检测系统(HIDS)的使用。

四、实验环境每2位学生为一个实验组，使用2台安装Windows 2000/XP的PC机，其中一台上安装Windows平台下的Snort 2.9软件；在运行snort的计算机上，安装WinpCap4.1.2程序。

五、实验要求1、实验任务（1）安装和配置入侵检测软件。

（2）查看入侵检测软件的运行数据。

（3）记录并分析实验结果。

2、实验预习（1）预习本实验指导书，深入理解实验的目的与任务，熟悉实验步骤和基本环节。

（2）复习有关入侵检测的基本知识。

六实验背景1 基础知识入侵检测是指对入侵行为的发现、报警和响应，它通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或者系统中是否有违反安全策略的行为和被攻击的迹象。

入侵检测系统（Intrusion Detection System， IDS）是完成入侵检测功能的软件和硬件的集合。

随着网络安全风险系数不断揭帖，防火墙作为最主要的安全防范手段已经不能满足人们对网络安全的需求。

作为对防火墙极其有益的补充，位于其后的第二道安全闸门IDS能够帮助网络系统快速发现网络攻击的发生，有效扩展系统管理员的安全管理能力及提高信息安全基础结构的完整性。

IDS能在不影响网络及主机性能的情况下对网络数据流和主机审计数据进行监听和分析，对可疑的网络连接和系统行为进行记录和报警，从而提供对内部攻击、外部攻击和误操作的实时保护。

2 入侵检测软件Snort简介Snort是一款免费的NISD，具有小巧、易于配置、检测效率高等我，常被称为轻量级的IDS。

Snort具有实时数据流量分析和IP数据包日志分析能力，具有跨平台特征，能够进行协议分析和对内容的搜索或匹配。

任课教师：舒挺，张芳《计算机网络》（2013-2014学年第2学期）实验报告学号：2012329620006姓名：章钰沁班级：12级计算机科学与技术（1）班实验三：使用SNORT观察网络数据包和TCP链接一、实验内容和要求●学会安装使用自由软件SNORT●截获以太网数据包，并分析和描述TCP连接的三个阶段。

●截获ARP协议数据包并进行分析二、实验步骤第一部分安装snort1、下载snort-2_0_4.exe 网址：/dl/binaries/win32/snort-2_0_4.exe2、下载WinPcap_3_0.exe http://winpcap.polito.it/install/bin/WinPcap_3_0.exe3、安装snort和winpcap4、打开DOS命令窗口COMMAND。

进入snort的安装目录。

Cd /snort/bin5、执行snort –ev 出现以下屏幕，表示安装完成并能正常使用6、用ctrl +C结束。

7、观察一个完整的TCP连接。

第二部分1、在snort的工作目录中使用命令snort –dev –l /snort/log开始snort并将相应的log文件记录在log目录下。

2、另开一个命令窗口，键入命令FTP 3、观察ftp命令窗口4、打开相应的log目录5、查找到相应的TCP连接，并用文本分析器打开。

对照ftp命令窗口中出现的结果，分析刚才的TCP连接过程。

第三部分观察ARP协议1、同二，打开SNORT并记录。

2、在另一命令窗口执行以下命令：arp –a 观察高速缓存telnet 192.168.0.3 discard 注：和一个在ARP缓存中不存在的主机进行telnet连接。

quit3、quit4、分析所捕获的数据包，并且写出arp的全过程。

三、实验结果第一部分1、先在控制面板——>用户帐户中更改密码，如下图所示：2、打开DOS命令窗口COMMAND。